Zo houdt een pentest je bedrijf veilig

  • De basis
  • Bijgewerkt 16 juli 2025
  • 2 min
  • Runnen en groeien
  • Veilig zakendoen

Met een pentest, ofwel 'penetration test', controleer je of je IT-beveiliging op orde is. Tijdens zo’n test valt een cybersecurityspecialist je digitale systemen aan. Daarna vertelt die je welke zwakke plekken er zijn en hoe je die repareert. Veel bedrijven, van groot tot klein, werken met gevoelige gegevens en IT-systemen. Regelmatig pentesten is dan extra belangrijk.

Bescherm je bedrijf

In onze e-mailserie lees je hoe je omgaat met digitale risico’s.

Abonneer je nu

De specialist die je inhuurt doet alsof die een crimineel is en voert een geplande cyberaanval uit. Het is alsof je een ex-inbreker vraagt je huis of bedrijfspand binnen te dringen. Komt die eenvoudig binnen door een raam dat op een kier staat? Of werkt je alarmsysteem niet zoals het hoort? Je repareert deze kwetsbaarheden voordat er een echte inbreker in je huis of bedrijfspand staat. Doe dat ook met de digitale systemen van je bedrijf.

Hoe werkt een pentest?

Een pentest is altijd maatwerk. Je spreekt met de tester, ook wel ethisch hacker, duidelijk af wat het doel van de pentest is. En welke systemen de hacker mag aanvallen. Die valt bijvoorbeeld je WiFi-netwerk aan en probeert zo klantinformatie te stelen.

Voorkennis

Je bepaalt ook welke voorkennis de aanvaller heeft. Bij een ‘black box’ pentest weet de hacker niets over je bedrijf. Dat lijkt op een cybercrimineel die voor het eerst aan je digitale deur rammelt. Bij een ‘grey box’ pentest geef je de hacker toegang tot een deel van je systemen. Zo doe je alsof een cybercrimineel al in je bedrijfsnetwerk zit. En bij een ‘white box’ pentest krijgt de pentester alle informatie en toegang. Denk aan wachtwoorden en details over de software die je gebruikt. De opdracht is dan bijvoorbeeld uitgebreid de veiligheid van een van je gebruikte softwarepakketten te testen.

Gevolgen van een cyberaanval

De pentester zoekt naar zwakke plekken in je IT-beveiliging. En dringt vervolgens via die plekken je systemen binnen om zo bijvoorbeeld klantgegevens te stelen. Zo zie je wat de mogelijke gevolgen van een cyberaanval zijn, zonder dat het je bedrijf echt beschadigt.

Kwetsbaarheden repareren

Repareer de kwetsbaarheden die de hacker ontdekt. Sommige zaken los je zelf op, zoals 2FA aanzetten. Met 2FA gaat inloggen op je accounts in twee stappen. Dat is veiliger, want naast je wachtwoord heb je een extra code nodig. Die krijg je bijvoorbeeld via een SMS of via een authenticator-app. Voor ingewikkeldere zaken vraag je hulp aan je IT-leverancier of een cybersecurityspecialist.

Als je de adviezen van de pentester uitvoert, komt een cybercrimineel minder snel je netwerk binnen. En zijn je geld en gegevens beter beveiligd.

Wat kost een pentest?

De prijs en duur van een pentest hangen af van wat je laat testen. Een kleine pentest kost rond de duizend euro en duurt ongeveer een dag. Dan checkt de pentester je systeem op kwetsbaarheden die vaak aanwezig zijn. Is de test uitgebreider? Dan kan het bedrag oplopen tot duizenden of tienduizenden euro’s. Zo'n uitgebreide test kan weken duren. Meestal kun je blijven werken op systemen die getest worden.

Regelmatig herhalen

De uitslag van een pentest zegt iets over hoe je beveiliging nu is. Maar cybercriminelen zitten niet stil. Ze ontdekken en misbruiken steeds nieuwe kwetsbaarheden. Ook veranderen je IT-systemen. Je vervangt bijvoorbeeld een computer, of je installeert nieuwe software. Doe daarom regelmatig opnieuw een pentest, bijvoorbeeld een keer per jaar. Zeker als je werkt met gevoelige gegevens en IT-systemen.

Is een pentest gevaarlijk?

Een pentest kan gevaarlijk zijn. Tijdens de test kan een systeem bijvoorbeeld minder goed werken. Je bespreekt daarom vooraf met de ethisch hacker welke risico’s je wel of niet wilt lopen. Ook wil je zeker weten dat de pentester zelf betrouwbaar is. En geen misbruik maakt van zwakke plekken in je systemen of van je gevoelige gegevens.

Erkende pentesters

Laat alleen een erkend securitybedrijf een pentest uitvoeren. Zo'n bedrijf is bijvoorbeeld aangesloten bij de branchevereniging Cyberveilig Nederland. Of heeft een landelijk keurmerk voor pentesten. Bekijk het overzicht van het Centrum voor Criminaliteitspreventie en Veiligheid (CCV) voor pentesters met zo’n keurmerk.

Vrijwaringsverklaring

Voordat een pentest begint, maak je met de pentester een vrijwaringsverklaring, ofwel ‘pentestwaiver’. Met dit document geef je onder meer toestemming voor een digitale aanval. Ook regel je daarin dat de pentester niet verantwoordelijk is voor de gevolgen van de pentest. Denk aan schade aan je systemen. Een pentestwaiver is maatwerk, net als de pentest zelf. Een erkend securitybedrijf heeft hier ervaring mee. Wil je nog meer zekerheid? Vraag dan een ICT-jurist met je mee te kijken.

Anderen lezen ook